30 ноября 2020 г., понедельник

Отраслевые мероприятия (Беларусь)

12 октября, 2020

О переносе даты проведения VIII международной выставки-форума «Центр безопасности. 2020»

1 июля, 2020

Запись вебинара – разработка BIM моделей АСПС

13 апреля, 2020

«Центр безопасности. 2020» – текущая ситуация

16 февраля, 2020

Новый практический курс «СКУД PERCo» в Образовательном центре АЭРКОМ

2 февраля, 2020

Конференция «СКУД – технологии и практика»

16 января, 2020

Обучение по базовому сертификационному курсу PERCo

Отраслевые мероприятия (зарубежные)

8 апреля, 2020

Премия BIM&SECURITY в деловой программе выставки Securika Moscow

16 марта, 2020

Securika Moscow: Ключевые мероприятия деловой программы

10 сентября, 2019

Конференция «СКУД 2019. Технологии и практика»

5 апреля, 2019

Итоги Securika Moscow: рекордное число посетителей

18 марта, 2019

Юбилейная выставка Securika Moscow 2019 показывает рекордный уровень доверия к бренду

18 марта, 2019

Запланируйте посещение мероприятий деловой программы выставки Securika Moscow

Каталог предприятий

sfera-kameri-videonabludeniya-125х125

Видео

sfera-kameri-videonabludeniya-125х125
Уязвимость в Explorer привела к ссоре между Microsoft и исследователем
13 января, 2011

Microsoft критикует исследователя, работающего на Google, который опубликовал 0-day уязвимость Internet Explorer на Новый Год. Уязвимость была обнаружена при помощи cross_fuzz, инструмента, призванного находить ошибки в веб-браузерах, созданного исследователем Google Михалом Залевским, который говорит, что он более месяцев 6 предупреждал Microsoft перед преданием огласке уязвимости. Тем не менее, это не удержало Microsoft от острой критики, компания утверждает, что Залевский подверг тысячи пользователей риску.
Согласно опубликованной Залевским хронологии событий, он первый раз сообщил Microsoft об уязвимости в июле прошлого года и предоставил компании копии cross_fuzz для независимой проверки. Залевский проинформировал компанию о том, что он планирует выпустить программу в январе, и Microsoft подтвердила эту информацию — признал во вторник представитель компании Microsoft Джерри Брянт.
Microsoft сообщила, что она не смогла воспроизвести проблемы при помощи инструмента cross_fuzz будучи уведомленной о проблеме в июле, несмотря на то, что Залевский настаивал, что он видел «многочисленные отказы системы и проблемы повреждения GDI» в IE. Компания утверждает, что она была уведомлена только лишь 21 декабря о новой версии cross_fuzz, которая могла вызвать потенциальный эксплуатируемый аварийный отказ системы.
Microsoft незамедлительно выпустила уведомление Security Advisory (2488013), признавая, что уязвимость охватывает все поддерживаемые версии IE. Microsoft объяснила, что уязвимость существует в результате создания неинициализированной памяти во время обработки CSS в браузере, это дает возможность хакерам использовать память в своих целях при помощи специально разработанной веб-страницы.
«Мы незамедлительно начали работу по воспроизведению проблемы с обновленной и первозданной программой и в данный момент исследуем ее дальше, чтобы определить является ли она на самом деле эксплуатируемой», — сообщил Брянт.
Вот здесь, тем не менее, истории расходятся. Залевский говорит, что он ничего якобы не слышал от Microsoft до середины декабря, когда другие смогли воспроизвести проблему при помощи первоначальной версии cross_fuzz, которая использовалась еще в прошлом июле. Согласно Залевскому, Microsoft неожиданно обеспокоилась о потенциальных негативных PR-последствиях и заявила о проблемах в IE лишь поверхностно после того, как он обновил свой код. Залевский сказал, что проблема не изменилась и выявляется при функционировании как новой, так и старой версии fuzzer и снова сообщил Microsoft, что планирует выпустить программу в январе.
«Ответ [Центра исследования безопасности Microsoft] подтверждает, что эти отказы системы воспроизводимы при помощи fuzzer от 29 июля; неясно, почему нельзя было воспроизвести их раньше, или отслеживать этот случай», — написал Залевский 29 декабря. Как и обещал, он выпустил fuzzer 1 января.
Теперь Microsoft обвиняет Залевского в повышении риска для пользователей IE — компания сообщает, что злоумышленники могут найти способ воспользоваться уязвимостью до того, как патч может быть апробирован и распространен. Залевский настаивает, что Microsoft знала об уязвимости и его плане выпустить программу в январе на протяжении более 6 месяцев, тем не менее, ничего не делала до тех пор, пока не стало слишком поздно.
Чтобы ни говорил он или компания, война прекращается, Microsoft сообщает, что она активно контролирует ситуацию и в скором времени планирует выпустить патч.

Источник: http://anti-virus.by/

Оставить комментарий

Заметьте: Включена проверка комментариев. Нет смысла повторно отправлять комментарий.